Киберполиция Украины сообщила об аресте 42-летнего жителя Львова, который, по информации правоохранителей, заразил около 2000 человек в 50 странах малварью DarkComet.

Напомню, что DarkComet появился еще в 2008 году и исходно представлял собой легальный инструмент для удаленного администрирования. Однако благодаря широким шпионским возможностям DarkComet в скором времени приглянулся злоумышленникам, которые адаптировали инструмент, превратив его в многофункциональный RAT (remote access trojan, троян удаленного доступа).

В итоге оригинальный разработчик забросил проект еще в 2012 году, но эстафету подхватили вирусописатели, и малварь на базе DarkComet по-прежнему активно используется злоумышленниками, а порой такие решения встречаются даже в арсеналах «правительственных» хакерских групп.

DarkComet представляет собой классическую RAT-угрозу, которая устанавливает «клиентский» модуль на зараженную машину, и предает собранные в системе данные «серверному» модулю, то есть административной панели. Малварь способна делать снимки экрана, перехватывать нажатия клавиш, звук с микрофона и видео со встроенных или внешних камер, похищать различные документы, воровать пароли из локальных приложений, удалять приложения и устанавливать на зараженное устройство дополнительную малварь, отключать различные функции ОС и так далее.

Украинская киберполиция не сообщает почти никаких подробностей о личности подозреваемого и том, как именно он был обнаружен. Однако правоохранители рассказывают, как проверить свою систему на предмет заражения этой версией DarkComet: набрать в cmd «netstat -nao» и убедиться, что в списке текущих соединений нет адреса 193.53.83.233 (порт 1604 или 81). Если устройство пытается связываться с этим адресом, оно пострадало от этой кампании DarkComet.

Интересно даже простой поиск через Shodan показывает, что адрес 193.53.83.233 не относится к какому-либо дата-центру, но принадлежит обычному провайдеру (и, очевидно, обычному абоненту). То есть управляющий сервер малвари, очевидно, действительно располагался прямо дома у задержанного.

Правоохранители сообщают, что по месту жительства злоумышленника был произведен обыск, во время которого были изъяты ноутбук, зараженный вредоносным  ПО, и стационарный компьютер. Подчеркивается, что во время предварительного осмотра техники, на компьютере была обнаружена админ-панель доступа к зараженным малварью компьютерам, установочные  файлы DarkComet, а также скришноты, сделанные на подконтрольных RAT компьютерах. Изъятую технику направили на проведение компьютерно-технической экспертизы.

5 комментариев

  1. Mr-r00t

    27.11.2018 at 12:17

    Держать у себя дома, да еще нативно — верх дебилизма.

  2. musiyenko

    28.11.2018 at 11:59

    @ Маска Гая Фокса на обоях
    @ Windows 7
    @ Установлена Алиса (правый монитор)
    @ CC представлен в GUI
    @ Реверс tcp на свой же адрес
    Серьёзно? Либо это школьник, либо самый обычный мужик, который вообще не разбирается в IT.

  3. Sarge74

    02.12.2018 at 05:52

    Скорее всего скрипткидди, который начитался тематических каналов из телеграма и, не разобравшись ни в чём, решил послушать чужого дядю, который пообещал ему за админки немного бабла, типа как партнеру.
    И в результате, дяде хорошо, а мальчику(возраст ни при чём) плохо.

  4. sudo

    03.12.2018 at 12:38

    Любопытно, что другие «умельцы» с Украины взяли режим тишины и «поставили на паузу» работу/сервисы
    или… ? 🙂

Оставить мнение